Tylko pod jakim kątem porównywać, bo każdy ma inne preferencje i do czegoś innego wykorzystuje takie sandboxy. Jednym z minusów piaskownicy do analizy malware jest to, że właściwie nie wiemy, z jakiego rozwiązania "w środku" korzysta deweloper, więc tak naprawdę nie da się stwierdzić bez dokładnego porównania, czy ów maszyny Windows są dobrze "zabezpieczone" przed technikami stosowanymi przez malware do wykrywania środowiska wirtualnego. Dlatego też czasami malware może nie robić zupełnie nic w VM-ce, a taki system "rzeczywisty" będzie infekować. Załączam lekturę, która jest ciągle aktualna pod tym kątem dla różnych hiperwizorów. Takim rozszerzeniem załączonego PDF-a są aplikacje Pafish:
Da mnie ważne jest środowisko w jakim uruchamiamy szkodnika, aby było jak najbardziej aktualnie, przynajmniej w kontekście systemu operacyjnego, dlatego Windows 10 to konieczność. Jeżeli chcemy dowiedzieć się, co konkretnie robi wirus nie zawsze jest to najlepsze wyjście, ale z mojego punktu widzenia, gdzie interesuje mnie też skuteczność AV, to właśnie Windows 10 stanowi bazę do analizy.
Piaskownice, z których korzystam to:
Innych produktów nie kojarzę. Na pewno są takie, równie ciekawe, np. Joe Sandbox, który też mi przypomina z opisów technicznych Cuckoo Sandbox… Tak naprawdę większość z tych dobrych jest płatna i wykorzystana raczej w środowiskach biznesowych jako dodatkowy "sandbox" dla nierozpoznanych plików.
[Aby zobaczyć linki, zarejestruj się tutaj]
i Al-Khaser[Aby zobaczyć linki, zarejestruj się tutaj]
Zasadniczo powinniśmy uzyskać wszystko na "zielono", ale nie zawsze jest to możliwe nawet w systemie rzeczywistym, bez grzebania w bebechach systemu.Da mnie ważne jest środowisko w jakim uruchamiamy szkodnika, aby było jak najbardziej aktualnie, przynajmniej w kontekście systemu operacyjnego, dlatego Windows 10 to konieczność. Jeżeli chcemy dowiedzieć się, co konkretnie robi wirus nie zawsze jest to najlepsze wyjście, ale z mojego punktu widzenia, gdzie interesuje mnie też skuteczność AV, to właśnie Windows 10 stanowi bazę do analizy.
Piaskownice, z których korzystam to:
- Moja własna, zbudowana na Windows 10 x64 i Vmware z zainstalowanymi skryptami do śledzenia malware oraz aktywności antywirusów, posiłkująca się dodatkowo WIndows Event (i którą wykorzystamy przy projekcie, który jest w budowie (można taką niewielką informację o tym znaleźć na portalu wiadomo jakim)). Wymaga hosta Linux, bo tutaj są przesyłane logi z Windows i odpowiednio parsowane przez skrypty.
- Przy manualnej analizę posiłkuje się też
[Aby zobaczyć linki, zarejestruj się tutaj]
bo zawiera wiele szczegół technicznych, ładnie poukładanych dla odbiorcy – człowieka.
- Czasem używam piaskownicę online od projektu Cuckoo Sandbox
[Aby zobaczyć linki, zarejestruj się tutaj]
ale od jakiegoś czasu jest offline.
- VirusTotal najmniej, bo zawiera niezbyt wiele szczegółów z analizy, ale jest dobrą bazą do wyszukiwania próbek po sumach kontrolnych.
- Pewnie coś tam jeszcze by się znalazło, ale teraz sobie nic nie przypominam.
[Aby zobaczyć linki, zarejestruj się tutaj]
w którym maszyny VM są oparte o vSphere. Ten hiperwizor pozwala uzyskać dostęp do systemu przez API na poziomie ring(-1), więc nie wymaga instalowania żadnego agenta pokroju Vmware tools lub dla VirtualBox Additional tools (tak to się nazywało?). I tak naprawdę dzięki API, konsola może wyrzucać tony informacji z systemu bez dodatkowego oprogramowania „w środku” Windows. Oczywiście trzeba je jeszcze poddać stosownemu sortowaniu i parsowaniu. Jest to najbardziej korzystne z punktu analizy malware, które posiłkują się technikami anti-anti-vm.Innych produktów nie kojarzę. Na pewno są takie, równie ciekawe, np. Joe Sandbox, który też mi przypomina z opisów technicznych Cuckoo Sandbox… Tak naprawdę większość z tych dobrych jest płatna i wykorzystana raczej w środowiskach biznesowych jako dodatkowy "sandbox" dla nierozpoznanych plików.